springboot使用Jwt處理跨域認證問題

陳大帥哥Ray發表於2020-05-24

  在前後端開發時為什麼需要使用者認證呢?原因是由於HTTP協定是不儲存狀態的,這意味著當我們透過賬號密碼驗證一個使用者時,當下一個request請求時他就把剛剛的資料忘記了。於是我們的程式就不知道誰是誰了。 所以為了保證系統的安全,就需要驗證使用者是否處於登陸狀態。

一、JWT的組成

JWT由Header、Payload、Signature三部分組成,分別.分隔。

下面就是一個jwt真實的樣子,說白了就是一個字串,但是裡面卻儲存了很重要的資訊。

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJyYXljaGVuIiwiaWQiOjIsIm5hbWUiOiJyYXkiLCJwYXNzd29yZCI6IjMyMSIsImlhdCI6MTU5MDI5OTU0OCwiZXhwIjoxNTkwMzg1OTQ4fQ.ORJNldDIfffg7D3_xu0_dBWb16y4fPLtw_r6qgScFpQ

Header:

第一部分是請求頭由兩部分組成,algtyp,第一個指定的是演算法,第二指定的是型別。

Payload

第二部分是主體資訊組成,用來儲存JWT基本資訊,或者是我們的資訊。

Signature

第三部分主要是給第一部分跟第二部進行簽名使用的,用來驗證是否是我們伺服器發起的Tokensecret是我們的金鑰。

二、在springboot專案中使用jwt做驗證

具體流程:

  •  把使用者的使用者名稱和密碼發到後端
  •  後端進行校驗,校驗成功會生成token, 把token傳送給客戶端
  •  客戶端自己儲存token, 再次請求就要在Http協議的請求頭中帶著token去訪問服務端,和在服務端儲存的token資訊進行比對校驗。

1.先引入jar包

<dependency>
   <groupId>io.jsonwebtoken</groupId>
   <artifactId>jjwt</artifactId>
   <version>0.9.1</version>
</dependency>

2.使用工具類生成token和驗證token(生成token方法中存入了使用者的資訊)

public class JwtUtils {

    //發行者
    public static final String SUBJECT="raychen";
    //過期時間 一天
    public static final long EXPIRE=1000*60*60*24;
    //金鑰
    public static final String APPSECRET="raychen11";

    /**
     * 生成jwt
     * @param user
     * @return
     */
    public static String geneJsonWebToken(User user){
        if(user==null || user.getId()==null || user.getName()==null || user.getPassword()==null){
            return null;
        }
        String token=Jwts.builder().setSubject(SUBJECT)
                .claim("id",user.getId())
                .claim("name",user.getName())
                .claim("password",user.getPassword())
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis()+EXPIRE))
                .signWith(SignatureAlgorithm.HS256,APPSECRET).compact();

        return token;
    }

    /**
     * 校驗token
     * @param token
     * @return
     */
    public static Claims checkJWT(String token){
        //仿造的token或者已過期就會報錯
        try {
            final Claims claims=Jwts.parser().setSigningKey(APPSECRET).parseClaimsJws(token).getBody();
            return claims;
        }catch (Exception e){
            System.out.println("catch...");
        }
        return null;
    }
}

3.自定義註解(進行token驗證)

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface CheckToken {
    boolean required() default true;
}

4.編寫config,將後臺所有請求先去攔截器(攔截器返回了true,使用者才可以請求到介面)

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {


    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");    // 攔截所有請求,通過判斷是否有 @LoginRequired 註解 決定是否需要登入
    }

    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

5.定義攔截器(對需要token驗證的請求,進行驗證,驗證成功返回true,失敗返回false無法請求到介面)

public class AuthenticationInterceptor implements HandlerInterceptor {

    public static final Gson gson=new Gson();
    /**
     * 進入controller之前進行攔截
     * @param request
     * @param response
     * @param object
     * @return
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {
        // 如果不是對映到方法直接通過
        if (!(object instanceof HandlerMethod)) {
            return true;
        }

        HandlerMethod handlerMethod = (HandlerMethod) object;
        Method method = handlerMethod.getMethod();
        //檢查是否有LoginToken註釋,有則跳過認證
        if (method.isAnnotationPresent(LoginToken.class)) {
            LoginToken loginToken = method.getAnnotation(LoginToken.class);
            if (loginToken.required()) {
                return true;
            }
        }

        //前面是不需要token驗證的 從 http 請求頭中取出 token
        String token = request.getHeader("token");
        //檢查有沒有需要使用者許可權的註解
        if (method.isAnnotationPresent(CheckToken.class)) {
            CheckToken checkToken = method.getAnnotation(CheckToken.class);
            if (checkToken.required()) {
                if(token!=null){
                    Claims claims= JwtUtils.checkJWT(token);
                    if(null==claims){
                        sendJsonMessage(response, JsonData.buildError("token有誤"));
                        return false;
                    }
                    Integer userId= (Integer) claims.get("id");
                    String name = (String) claims.get("name");

                    request.setAttribute("userId",userId);
                    request.setAttribute("name",name);
                    return true;
                }
                //token為null的話 返回一段json給前端
                sendJsonMessage(response, JsonData.buildError("請登入"));
                return false;
            }
        }
        //沒有使用註解的方法 直接返回true
        return true;
    }

        /**
         * 響應資料給前端
         * @param response
         * @param obj
         * @throws IOException
         */
        public static void sendJsonMessage (HttpServletResponse response, Object obj) throws IOException {
            response.setContentType("application/json; charset=utf-8");
            PrintWriter writer = response.getWriter();
            writer.print(gson.toJson(obj));
            writer.close();
            response.flushBuffer();
        }
}

使用者登入成功後,使用工具類生成token。token在服務端不做儲存,直接將token返回給客戶端,客戶端下次請求服務端時,使用工具類來驗證header裡的token是否合法。

相關文章